Websecurity - Веб безпека

25.09.2014

Виявлена можливість виконання коду в bash.

Уразливі версії: bash 4.3.

Можна помістити функцію в зміст будь-якої змінної оточення.

Атака зокрема може проводитися через CGI скрипти, якщо вони написані на bash або відкривають шели. Такі шели використовуються функціями system/popen в C, open/system в Perl (якщо запускається шел, що залежить від командного рядка), os.system/os.popen в Python та system/exec в PHP (в режимі CGI).

• CVE-2014-6271: remote code execution through bash (деталі)
• Re: CVE-2014-6271: remote code execution through bash (деталі)
• Bash vulnerability (деталі)

30.10.2014

Додаткова інформація.

• HP StoreAll Operating System Software running Bash Shell, Remote Code Execution (деталі)
• Security Notice for Bash Shellshock Vulnerability (деталі)
• HP Remote Device Access: Virtual Customer Access System (vCAS) running Bash Shell, Remote Code Execution (деталі)
• VMware product updates address critical Bash security vulnerabilities (деталі)
• HP DreamColor Professional Display running Bash Shell, Remote Code Execution (деталі)
• the other bash RCEs (CVE-2014-6277 and CVE-2014-6278) (деталі)
• HP Thin Clients running Bash, Remote Execution of Code (деталі)

Виявлене цілочисленне переповнення в Python.

Уразливі версії: Python 2.7.

Цілочисленне переповнення в buffer().

• Integer overflow in Python (деталі)

У жовтні, 08.10.2014, через півтора місяці після виходу Google Chrome 37, вийшов Google Chrome 38.

В браузері зроблено багато нововведень. А також виправлено 159 уразливостей. Що є рекордом порівняно з попередніми випусками браузера.

113 уразливостей виявлені в результаті автоматизованого тестування інструментом MemorySanitizer і представляють помірний ступінь небезпеки. Окремого згадування заслуговує критична уразливість (CVE-2014-3188), що стосується помилок в движку V8 і механізмі IPC. Вона дозволяє обійти всі рівні захисту браузера і виконати код у системі, за межами sandbox-оточення.

• Релиз web-браузера Chrome 38 с устранением 159 уязвимостей (деталі)

В період з 11.07.2012 по 10.09.2014 відбувся масовий взлом сайтів на сервері Ukrhosting. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukrhosting. Взлом відбувся майже одночасно зі згаданим масовим взломом сайтів на сервері Delta-X. Взлом складався з багатьох окремих дефейсів та одного масового дефейсу.

Всього було взломано 52 сайти на сервері хостера Ukrhosting (IP 31.28.167.207). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт pustomyty-rada.gov.ua, який був взломаний в 2012 і 2013 роках.

З зазначених сайтів 40 сайтів були взломані хакером serseridelikan, 3 хакером Hmei7, 4 хакером Dr-spam, по 1 сайту хакерами з team sality, Sejeal, HighTech, norton і ejram_07.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів хакером serseridelikan, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (інші сайти були дефейснуті окремо). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 32.0, Firefox ESR 31.1, Thunderbird 31.1, SeaMonkey 2.29.1.

Численні пошкодження пам’яті, переповнення буфера, обхід обмежень.

• Mozilla Foundation Security Advisory 2014-74 (деталі)
• Mozilla Foundation Security Advisory 2014-75 (деталі)
• Mozilla Foundation Security Advisory 2014-76 (деталі)
• Mozilla Foundation Security Advisory 2014-77 (деталі)
• Mozilla Foundation Security Advisory 2014-78 (деталі)
• Mozilla Foundation Security Advisory 2014-79 (деталі)
• Mozilla Foundation Security Advisory 2014-80 (деталі)
• Mozilla Foundation Security Advisory 2014-81 (деталі)
• Mozilla Foundation Security Advisory 2014-82 (деталі)

У жовтні, 16.10.2014, вийшли PHP 5.4.34, PHP 5.5.18 і PHP 5.6.2. У версії 5.5.34 виправлено 6 уразливостей, у версії 5.4.18 виправлено декілька багів і 4 уразливості, а у версії 5.6.2 виправлено 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.34, 5.5.18 і 5.6.2 виправлено:

• Уразливості CVE-2014-3668, CVE-2014-3669 і CVE-2014-3670.
• Null byte injection уразливість в libcURL.
• Виправлення для OpenSSL, додане в попередніх версіях, що приводило до регресії, повернуто в попередній стан у версіях 5.4.34 і 5.5.18.

По матеріалам http://www.php.net.

Виявлене виконання коду в Microsoft Word, а також в серверних продукта SharePoint Server і Office Web Apps.

Уразливі продукти: Microsoft SharePoint Server 2010, Office Web Apps 2010.

Виконання коду при розборі формату Word.

• Microsoft Security Bulletin MS14-061 - Important Vulnerability in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (3000434) (деталі)

Після виходу в серпні PHP 5.6, у жовтні, 02.10.2014, вийшов PHP 5.6.1. У якому виправлено декілька багів. Даний реліз направлений на покращення стабільності гілки 5.6.x.

Жодних уразливостей в цій версії PHP виправлено не було.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в .NET Framework і ASP.NET MVC.

Уразливі продукти: Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Виконання коду через .Net и обхід захисту в ASP.NET MVC (для проведення XSS атак).

• Microsoft Security Bulletin MS14-057 - Critical Vulnerabilities in .NET Framework Could Allow Remote Code Execution (3000414) (деталі)
• Microsoft Security Bulletin MS14-059 - Important Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (деталі)

02.06.2011

В травні, 14.05.2011, відбувся масовий взлом сайтів на сервері Візор (причому виключно gov.ua сайтів). Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Візор. Взлом відбувся після згаданого масового взлому сайтів на сервері Hvosting.

Всього було взломано 12 державних сайтів на сервері Vizor (IP 193.109.144.9). Це наступні сайти: manadm.gov.ua, www.shaadm.gov.ua, www.kivrada.gov.ua, www.turadm.gov.ua, www.kamadm.gov.ua, www.volodymyrrada.gov.ua, ivaadm.gov.ua, www.lutskadm.gov.ua, www.lbmadm.gov.ua, www.vvadm.gov.ua, www.koveladm.gov.ua, www.ratadmin.gov.ua.

Всі зазначені сайти були взломані 14 травня 2011 року хакерами BrOx-Dz і kader11000.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

18.10.2014

Після першого масового взлому, відбулися нові масові дефейси на цьому сервері (за 2011-2014 роки).

Всього було взломано 227 сайтів (тобто ще 215 сайтів) на сервері хостера Візор (IP 91.197.17.10). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: manadm.gov.ua, www.turadm.gov.ua, kamadm.gov.ua, koveladm.gov.ua, kivadm.gov.ua, lbsadm.gov.ua, lbmadm.gov.ua, lambada.lutsk.ua, locadm.gov.ua, lutskadm.gov.ua, rozhadm.gov.ua, volodymyrrada.gov.ua, vvadm.gov.ua. Перед цим у 2011 році було дефейснуто 12 державних сайтів.